當然你在評估你的資安框架時候，你會需要一些參考的框架，那就需要暸解一下以下幾個常見框架了：

NIST網絡安全框架

• 網絡安全框架（CSF）是用於減輕風險的活動和目標列表。
• 使用框架允許組織客觀陳述其當前的網絡安全能力，確定目標能力水平，並優先考慮投資以實現該目標。
• 框架有助於為內部風險管理程序提供結構，並提供了外部可驗證的法規合規陳述。
• 多種框架分類網絡安全活動和控制，並且不是針對特定行業的具體法規，而是IT安全治理的“最佳實踐”。

NIST網絡安全框架（CSF）

• NIST網絡安全框架專注於IT安全，針對美國受眾，但其建議可適用於其他國家和組織類型。
• NIST的風險管理框架（RMF）比CSF更具規範性，主要用於聯邦機構。

ISO和雲端框架

• ISO 27001是信息安全管理標準，是ISO 27K系列的一部分，並涵蓋不同方面的信息安全。
• ISO 31K是企業風險管理框架，考慮風險和機遇，不僅限於網絡安全。
• 雲安全聯盟（CSA）為雲服務提供商和消費者提供資源，幫助建立安全的雲平台。

SSAE服務組織控制（SOC）

• SSAE是由美國註冊會計師協會（AICPA）制定的審計規範，旨在確保服務提供商滿足專業標準。
• SOC2評估服務提供商實施的內部控制，以確保符合信任服務標準。
• SOC3報告較簡略，證明符合SOC2。

基準和安全配置指南

• 框架提供高層次的IT服務計劃，但不提供詳細的實施指導。
• 基準和安全配置指南用於部署伺服器和應用程式。
• 供應商和組織提供操作系統和網絡設備的配置指南。

應用伺服器和Web伺服器應用程式

• 應用伺服器和Web伺服器應用程式需要特別關注安全，並考慮平台問題。
• OWASP是一個不牟利的在線社區，提供安全應用程式開發資源。
• 伺服器應用程式需要確保對輸入進行驗證，以確保安全性。

法規、標準和法律

• 框架和配置指南可用於展示符合國家法律/法規要求或行業特定法規。
• 許多國家制定立法來犯罪化信息管理的疏忽，例如美國的Sarbanes-Oxley Act（SOX）和Federal Information Security Management Act（FISMA）。

個人數據和歐盟一般數據保護規則（GDPR）

• 有些法律類型處理了與網絡安全盡職調查有關的問題，而其他法律則完全或部分關注信息安全對隱私或個人數據的影響。
• 隱私是一個與安全不同的概念。隱私要求個人信息的收集和處理既安全又公平。公平和隱私權，如歐盟的一般數據保護規則（GDPR）所規定的那樣，意味著個人數據不能在未經個人知情同意的情況下被收集、處理或保留。知情同意意味著數據只能為指定目的而收集和處理，而且這一目的必須以通俗易懂的方式，而不是法律術語，清楚地向用戶描述。GDPR給予數據主體權利撤回同意，並檢查、修改或刪除他們的數據。
• 國家、領土或州的法律導致合規問題變得復雜。例如，GDPR不適用於美國的數據主體，但適用於在歐盟國家收集或處理個人數據的美國公司。在美國，有國家聯邦法律、州法律，以及適用於美國領土（波多黎各、美屬維爾京群島、關島和美屬薩摩亞）的法律。聯邦法律傾向於專注於聯邦部門的法規，或者是影響特定行業的“垂直”法律。後者的例子包括金融服務的格拉姆-利奇-布萊利法（GLBA）和健康保險可攜性和負責任法案（HIPAA）。
• 一些州已經開始引入類似GDPR採用的“水平”個人數據法規。州法規的一個高調案例是加利福尼亞消費者隱私法（CCPA）。
• Varonis的博客中包含了有關美國隱私法律的有用概述。

支付卡行業數據安全標準（PCI DSS）

• 合規問題還可能源於行業強制性的法規。例如，支付卡行業數據安全標準（PCI DSS）定義了財務信息的安全處理和存儲。